為了向廣大使用者提供更穩定、更可靠的交易系統,近日OKChain面向全網白帽子和開發者,正式上線OKChain漏洞提交頁面。當使用者在使用過程中,發現OKChain的系統漏洞時,可及時向社羣提交建議,以助力OKChain生態的進一步穩定執行。
據瞭解,根據漏洞在危害程度、利用難度兩個維度的特徵,輔以其他綜合因素,OKChain將漏洞分為「嚴重」、「高危」、「中危」、「低危」、「非漏洞」五個等級,並對應不同的獎勵金額。
其中,提交嚴重等級漏洞的使用者可獲得700-1000 USDT的獎勵;高危漏洞提交者可獲得500-700USDT的獎勵。此外中危和低危分別給予200-500 USDT、50-200USDT的獎勵金額。
⼀旦漏洞確認,客服跟⽩帽⼦確認漏洞稽覈詳情,待漏洞修復完成後,1-2個⼯作⽇發放獎勵到OKEx的賬戶中。
漏洞具體評判標準如下:
1、危害程度
【嚴重危害】
嚴重危害是指漏洞發生在核心繫統業務邏輯(區塊、交易、資金、共識驗證處理等涉及核心資產與資料的邏輯),對整個區塊鏈體系造成大量經濟損失、大面積混亂、或獲取節點宿主機許可權等嚴重且多數不可逆的危害。
包括但不限於:
- 任意節點遠端命令執行
- 區塊鏈網路分叉
- 篡改歷史區塊資料
- 偽造、重放任意交易或區塊並大量獲益
- 獲取任意節點託管的私鑰
- 任意鑄幣、盜幣
- 給任意賬戶造成資金損失
- 篡改鑑權、收費、轉賬等核心系統邏輯
- 破壞鏈上保密設計
【高危害】
高危害是指漏洞對部分節點或賬戶造成較嚴重危害,可以使部分割槽塊鏈系統停滯,造成較大混亂或經濟損失的問題。
包括但不限於:
- 任意節點程式崩潰或無響應
- 任意節點宿主機崩潰或無響應
- 使任意節點無法驗收合法交易
- 使任意節點無法與其他節點維持任何有效連線
- 斷開任意節點與其他節點的連線
- 偽造、重放任意交易或區塊但無法大量獲益
- 偽造簽名、獲得使用他人私鑰給任意資料簽名的能力
- 獲取某些賬戶的私鑰
- 獲得少量非預期資金收益
- 給某些賬戶造成資金損失
- 越權修改賬戶地址或許可權設定
【中等危害】
中等危害是指漏洞對部分節點或賬戶造成一定程度的混亂或經濟損失的問題。
包括但不限於:
- 重放特定交易或區塊
- 使任意節點啟動失敗
- 使任意節點無法與其他節點建立有效連線
- 顯著降低其他攻擊的利用難度
- 使服務端RPC介面失效
【低危害】
低危害是指漏洞不會對區塊鏈系統、節點或賬戶造成實質性損害,但依然需要改進,具有潛在風險的問題。
- 不會直接造成經濟損失的敏感資訊洩漏
- 一定程度降低其他攻擊的利用難度
2、利用難度
【低難度】
- 無利用門檻
- 成本較低或0成本
- 需要概率觸發,但觸發概率很大(>80%)
【中等難度】
- 需要概率觸發,但觸發概率較大(20%-80%)
- 需要攻擊者達成某些正常條件。比如被動態票選為BP,或主動成為出塊節點
- 需要受害者達成某些正常條件。比如需要未建立某些p2p連線
- 需要與非本程式中的常見攻擊手段結合。比如CSRF、任意檔案上傳下載等
- 需要與本程式中的已知攻擊手段結合
- 需要付出一定量或小於收益的資金成本
- 需要付出一定時間成本。比如數天
- 需要使用一定量網路/計算資源
【高難度】
- 需要概率觸發,但觸發概率較小(<20%)
- 需要使用者達到某些低頻條件,比如需要重啟客戶端
- 需要與本程式中的未知攻擊手段結合
- 需要付出大量時間成本
- 需要使用大量網路/計算資源
【極高難度】
- 需要達到某些正常情況下不易出現的特殊條件。比如獲取受到特別保護的特定資料
- 需要付出正常情況下不易達到的成本,但低於系統設計的預期成本。比如擁有全網30%以上算力,但不需要達到PoW預期的50%算力成本
3、漏洞提交規範
- 漏洞請求包或url(⽂字,⾮截圖)或操作步驟
- 漏洞payload。
- 漏洞危害證明(根據危害進⾏評級)
4、評分標準通⽤原則
- 同⼀個漏洞源產生的多個漏洞計漏洞數量為⼀。
- 通常,同⼀漏洞,⾸位報告者給予獎勵,其他報告者均不計;
- 同⼀漏洞,後提交的利⽤⽅式比第一個提交的利⽤造成的影響差距過⼤時,兩個漏洞都透過,從第⼆個漏洞中分⼀部分獎⾦給第⼀個提交的同學。
- 不可公開已提交的漏洞細節,⽹上已公開的漏洞不適⽤本規則。
- 以測試漏洞為借⼝,利⽤漏洞進⾏損害⽤戶利益、影響業務運作、盜取⽤戶資料等⾏為的,OK會取證並採取進⼀步法律⾏動的權利。
- 對於提交描述不清的漏洞,OK會主動聯絡⼤⽜,確認詳細資訊;每個漏洞需要明確產⽣漏洞的URL地址、⽂字細節、完整的截圖、清晰的語⾔表達,並附件提交。